L’associazione dei consumatori italiana Altroconsumo ed Euroconsumers (gruppo internazionale che riunisce organizzazioni in Belgio, Italia, Portogallo, Spagna e Brasile) hanno inviato una segnalazione formale al Garante per la Protezione dei Dati Personali contro le società cinesi Hangzhou DeepSeek Artificial Intelligence Co., Ltd. e Beijing DeepSeek Artificial Intelligence Co., Ltd., sviluppatrici della piattaforma DeepSeek. L’accusa riguarda gravi violazioni delle normative europee e italiane sulla protezione dei dati personali (Gdpr).
L’avvocato Marco Scialdone, capo del contenzioso di Euroconsumers, ha commentato questa azione con Eurofocus: “Con questa iniziativa intendiamo riaffermare la centralità dei diritti dei cittadini e degli utenti nello sviluppo e nella gestione dei sistemi di intelligenza artificiale. L’efficienza tecnologica, per quanto importante, non può prevalere sui diritti fondamentali delle persone. È essenziale garantire che lo sviluppo dell’IA avvenga nel pieno rispetto della regolamentazione europea, che rappresenta un pilastro nella salvaguardia dei valori e dei diritti fondamentali”.
Questa azione può avere effetti notevoli: il Garante Privacy italiano è stato al centro dell’attenzione globale quando nel marzo 2023 costrinse ChatGpt a interrompere le operazioni in Italia perché non rispettava il Gdpr, raccoglieva illecitamente dati personali e non aveva in piedi un sistema per verificare l’età dei minori. Dopo qualche settimana, il chatbot di OpenAI si mise in regola con la normativa europea e tornò operativo nel nostro paese.
In questo caso, Altroconsumo ed Euroconsumers segnalano che DeepSeek – l’AI cinese che è schizzata al vertice degli app store globali – tiene delle condotte che non rispettano il diritto europeo. In particolare per una serie di condotte:
Trasferimento internazionale dei dati: I dati personali degli utenti sono archiviati su server in Cina, senza adeguate misure di protezione come le Clausole Contrattuali Standard (SCC) richieste dal GDPR. Inoltre, la normativa cinese consente alle autorità locali di accedere ai dati senza trasparenza.
Mancanza di chiarezza sulla base giuridica: Non viene specificato su quali basi legali si fondi il trattamento dei dati personali, violando i principi di trasparenza richiesti dal GDPR.
Informativa incompleta: La privacy policy non fornisce dettagli essenziali, come i periodi di conservazione dei dati o le modalità di esercizio dei diritti degli utenti.
Profilazione e decisioni automatizzate: Non è chiaro se i dati raccolti vengano utilizzati per attività di profilazione o decisioni automatizzate, né sono indicate eventuali garanzie.
Diritti degli utenti ignorati: La procedura per l’esercizio dei diritti degli interessati appare confusa e non conforme ai requisiti del GDPR.
Protezione dei minori: Pur dichiarando che i servizi non sono destinati ai minori di 18 anni, manca una procedura chiara per verificare l’età o gestire i dati eventualmente raccolti da minori senza consenso parentale.
Le associazioni richiedono al Garante di intervenire immediatamente per limitare il trattamento dei dati personali degli utenti italiani e di emettere ammonimenti nei confronti delle società cinesi. L’obiettivo è garantire che il trattamento dei dati personali rispetti gli standard previsti dal Gdpr.
